传统方式安装
通用信息
选项1:在VPS上简单安装
选项2:安装在NAT路由器后面
选项3:通过网络向导安装
定期更新
通用信息
可付费托管:自动维护/更新的服务器,为您提供代码签名。请联系我们,了解我们能为您做些什么!
系统需求
运行Debian 11、Debian 12或Ubuntu 22.04 LTS的全新Linux虚拟机,在x64或aarch64 (arm64)架构上至少有4GB RAM。
| 注意! |
| 所提供的安装脚本假设一个没有安装软件的新服务器。试图在现有服务器上运行它和其他服务将会破坏东西,安装将会失败。 |
| 危险! |
| 安装脚本使用Nginx配置一个生产级反向代理,它管理TLS终止并适当地将所有请求路由到正确的后端。因此,在您的实例前面不需要额外的代理,因为这会导致复杂性。如果您选择使用另一个反向代理(如NPM,哈普乐西)与现有的Nginx反向代理(这对TRMM的正常运行至关重要)结合使用,您必须解决双重代理带来的潜在挑战,并且您不应该期望您的安装开箱即可正常运行。请注意,涉及辅助反向代理的配置将被视为“不支持”这种指定不是为了阻止修改,而是源于开发团队的能力限制。他们的主要焦点仍然是增强核心软件,他们不能支持无止境的各种设置。检查不支持的代理和不支持的指导方针了解更多信息。 |
| 注释 |
| 安装脚本已经在以下公共云提供商上进行了测试:Oracle Cloud Free Tier (arm64)、DigitalOcean、Linode、Vultr、Hetzner(强烈推荐)、AWS、Google Cloud和Azure,以及Hyper-V、ESXi和Proxmox上的后台NAT(不支持Proxmox上的CT,仅使用虚拟机)。 |
| 注释 |
|
CPU:对于检查/任务有限的< 200个代理,1个内核就足够了。 磁盘空间和速度取决于您的使用情况。当然更快是更好的SSD/NVMe。空间取决于您保留历史数据的时间、检查/脚本运行的次数及其输出大小。对于少于200个代理的少于12个月的历史记录,以及以合理的时间间隔运行的少于30个检查/任务,50GB应该没有问题。 |
安装要求
一个基于TOTP的认证应用。比较流行的有Google Authenticator,Authy,微软Authenticator。
注意
1.根据RFC 1304,域名中不允许使用特殊字符(如_)。只有a-z 0-9和连字符(-)
2.避免子子域大于4。(最佳:rmm.example.com好:rmm.corp.example.com坏:rmm.corp.xyz.example.com)像co.uk这样的国家顶级域名算作一层。
选项1:在VPS上轻松安装
安装在VPS上:DigitalOcean,Linode,Vultr,Hetzner(强烈推荐),AWS,Google Cloud和Azure等等。
使用符合最低规格的产品
步骤1 -在操作系统上运行更新
以root用户身份通过SSH登录到服务器。
安装先决条件并应用最新更新:
apt update apt install -y wget curl sudo ufw apt -y upgrade
如果安装了新内核,请使用reboot命令重新启动服务器。
步骤2 -创建用户
创建一个名为tactical的用户来运行RMM,并将其添加到sudoers组中。
useradd -m -G sudo -s /bin/bash tactical passwd tactical
步骤3 -设置防火墙(可选,但强烈建议)
信息
如果您的虚拟机没有向外界公开,例如运行在NAT之后,请跳过这一步。您应该在路由器中设置防火墙规则。
端口443 TCP:供代理和技术人员登录rmm和mesh。
端口22 TCP:用于SSH,仅用于服务器管理。
ufw default deny incoming ufw default allow outgoing ufw allow https
信息
SSH(端口22 TCP)只在远程登录和为RMM进行基本服务器管理时需要。任何代理通信都不需要它。
SSH防火墙规则
ufw allow ssh
启用并激活防火墙:
ufw enable && ufw reload
注释
你应该/永远不会再次以root用户身份登录服务器,除非出现了可怕的错误,并且你正在与开发人员合作。
步骤4 -创建DNS A记录
注意
所有3个域名必须在同一个子域级别,因为你只能得到一个LetsEncrypt通配符证书,它将只适用于该级别的DNS名称。
在这个例子中,我们将使用example.com作为我们的领域。
信息
RMM使用3个不同的站点。Vue前端,例如rmm.example.com,您将在那里从浏览器访问您的RMM,其余后端,例如api.example.com和MeshCentral,例如mesh.example.com rmm。api。和网格。是我们推荐的,但是如果它们已经在使用中,你可以使用任何你想要的。
1.用curl获得你的服务器的公共IP
2.打开托管您购买的域的DNS管理器。
3.创建3 A记录:rmm、api和mesh,并将它们指向您的服务器的公共IP:
步骤5 -运行安装脚本
切换到tactical用户:
su - tactical
提示
如果您可以创建快照,现在就可以这样做,这样您就可以再次快速恢复到该点,并在安装脚本出现问题时重新运行安装。
下载并运行安装脚本:
wget https://raw.githubusercontent.com/amidaware/tacticalrmm/master/install.sh chmod +x install.sh ./install.sh
信息
已经有了自己的SSL证书?使用- use-own-cert标志调用安装脚本,如下所示:
./install.sh --use-own-cert
确保您的证书和私钥存在于服务器上,因为安装脚本会提示您这两个文件的位置。
还要确保它是一个合法的、可信的证书,并包括正确验证的完整链。请勿将此选项用于自签名证书。
风险
您可以使用- insecure开关安装,以使用您想要的任何DNS名称。将为所有DNS名称生成自签名证书,并且所有SSL证书链验证将在TRMM被禁用。
./install.sh --insecure
要求:你必须在你的浏览器中打开所有3个子域名,并在登录前接受每个网站的安全警告,否则你会得到“后端离线(网络错误)”的错误。
✅快速安装,方便试驾
✅不需要公共DNS名称。使用irulez.local或任何您想要的DNS名称。
✅无证书续订
❌所有代理通信易受MITM损害,并可能被黑客攻击。
❌你不能从一个不安全的证书安装转换到可信的证书安装,而不重新安装所有的代理
❌无法使用代理安装部署链接。仅手动安装方法
出现提示时,回答最初的问题。用你的域名替换example.com。
步骤6 -在您的DNS管理器中部署TXT记录,让我们加密通配符证书
如果使用您自己的证书或自签名证书,请跳过此步骤。
注意
TXT记录的传播可能需要1分钟到几个小时,具体取决于您的DNS提供商。
在按Enter键之前,您应该首先验证TXT记录是否已经部署。
快速检查的方法是使用以下命令:
dig -t txt _acme-challenge.example.com (不是来自TRMM服务器)
或者使用:https://viewdns.info/dnsrecord/ Enter: _acme-challenge.example.com
为RMM web UI创建一个登录:
在安装脚本的末尾会打印出一串URLS用户名/密码。把这些保存在安全的地方。如果没有,就把它们找回来
步骤7:登陆
导航到 https://rmm.example.com 并使用您在安装过程中创建的用户名/密码登录。
登录后,您将被重定向到初始设置页面。
创建您的第一个客户端/站点,并选择默认时区。
完成安装。
选项2:安装在NAT路由器后面
使用专用硬件、Hyper-V、Proxmox或ESXi在您的本地网络中安装。所有都经过测试,工作正常。
从选项1开始执行所有操作:简单安装
如果您在专用网络/子网上只有代理
确保您的本地DNS服务器(或代理主机文件)有您的3个域名的战术rmm服务器IP地址:RMM,api和mesh
代理存在于专用网络/子网之外-设置端口转发
如果您在本地网络之外有代理:确保公共DNS服务器有3个战术rmm服务器域名的记录:RMM、api和mesh
登录您的路由器/ NAT设备。
1.将您的TRMM服务器设置为静态IP(使用DHCP保留通常更安全)。
2.端口转发TCP 443到您的TRMM服务器的私有IP地址。
信息
https://portforward.com/可以帮助端口转发设置
完成安装。
选项3:通过网络向导安装
使用上面的脚本。
要求:
1.可通过互联网解析的TLD域名(这是为了在安装脚本期间通过DNS txt记录验证的LetsEncrypt DNS通配符请求)。
测试使用:https://viewdns.info/dnsrecord/ OR https://dnschecker.org/ 输入:_acme-challenge.example.com作为TXT
2.代理需要能够通过DNS查找(主机文件、本地DNS、烟雾信号等)连接到您的服务器。).
来自代理的测试 ping rmm.example.com. 应该能找到你战术RMM服务器的IP地址。
来自代理的测试 ping api.example.com. 应该能找到你战术RMM服务器的IP地址。
来自代理的测试 ping mesh.example.com. 应该能找到你战术RMM服务器的IP地址。
提示
你有没有注意到第二点不需要公开?
您可能会喜欢浏览文档中不受支持的部分。
定期更新
我们以前说过,现在再说一遍。
我们建议定期更新。
每2-3个月一次。
当您更新SSL证书时,请这样做。
相关文章
赣公网安备36020002000448号